ASP.NET中的文本框中的"<" - >如何允许它？

我有一个显示包含<和>的字符串的文本字段.因此,代码会抛出错误.如何在文本字段中允许使用这些字符？

谢谢 :)

1> Artemiy..：

---

问题是当它被发布到服务器时,它将无法工作,无论你尝试什么.这是ASP.NET XSS保护,可以像这样禁用:

<%@ Page ... ValidateRequest="false" %>

麻烦的是,你必须非常小心地自己验证所有的回发.更简单的方法是在发布之前使用javascript转义文本框的所有内容.你可以使用相同的HTML转义来逃避它,然后在服务器端代码中使用unescape.

更新: 转义的示例.这将在回发之前在屏幕上闪烁更改的文本 - 理想的解决方案是为此使用隐藏字段,即将值分配给隐藏字段,而不是相同的字段.这是最简单的版本:

在代码隐藏中:

this.ClientScript.RegisterOnSubmitStatement(this.GetType(), 
    "EscapeField", "EscapeField();")

更新: 同样,警告 - 如果您像这样在数据库中保存HTML,然后只是将其显示给客户端,您就会直接受到XSS攻击.有些蠕虫可以找到并利用您的网站.确保清理所获得的HTML.

---

@TimAbell - 优点是,这样您就可以仅禁用一个控件的验证,而不是整个页面的验证.

---

javascript`escape`函数现已弃用.你应该使用`encodeURI()`.

2> Paul Spangle..：

---

如果您在asp.net页面中,则可以将整个输出文本包装在一个 Server.HtmlEncode("YourTextWithCharacters")

功能,它将为您编码任何狡猾的字符.

如果由于某种原因,您在.cs文件中执行此操作,则可以使用 System.Web.HttpUtility.HtmlEncode("YourTextWithCharacters")

在将其传递给表示层之前.